Re: iptables : y a-t-il des règles par défaut ?
Fabrice Chaillou a écrit :
Bonjour la liste,
Après quelques bidouilles acrobatiques, voilà que j'ai vidé toutes mes
règles d'iptables...
Comme c'était avant bourré de règles que je ne me souvenais pas avoir
installées, qui vérifiaient l'intégrité des paquets par exemple. Je sais
grosso modo ouvrir ou fermer tel ou tel port, mais là ça dépassait
largement mes compétences.
Je pensais pouvoir les récupérer en réinstallant iptables.
Or non.
Donc ma question : y a-t-il un "jeu de règles" minimum ou par défaut
quelque part ?
Merci d'avance,
F.
Si ca peut t'aider...
Eric
#!/bin/sh
# Initialise la table Filter (par défaut tout les échanges sont refusés)
iptables -t filter -F
iptables -t filter -X
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP
# Initialise la table NAT (par défaut tout les échanges sont activés)
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# Initialise la table Mangle (par défaut tout les échanges sont activés)
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
###############################################################################
# Règles du localhost
###############################################################################
iptables -t filter -A OUTPUT -o lo -p all -j ACCEPT
iptables -t filter -A INPUT -i lo -p all -j ACCEPT
###############################################################################
# Règles de connexion au reseau local
###############################################################################
# Connexions firewall <-> réseau
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.1 -d 192.168.1.0/24 -p all -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.1.0/24 -d 192.168.1.1 -p all -j ACCEPT
# Connexions firewall <-> broadcast réseau
iptables -t filter -A OUTPUT -o eth0 -s 192.168.1.1 -d 192.168.1.255 -p all -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.1.255 -d 192.168.1.1 -p all -j ACCEPT
###############################################################################
# Règles de connexion à Internet
###############################################################################
iptables -t filter -A OUTPUT -o ppp0 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ppp0 -s 0.0.0.0/0 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
###############################################################################
# Règles pour le port forwarding
###############################################################################
iptables -t filter -A FORWARD -i ppp0 -o eth0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p tcp --dport 80 -m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o ppp0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p tcp --sport 80 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -i ppp0 -s 0.0.0.0/0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1
iptables -t nat -A POSTROUTING -o eth0 -s 0.0.0.0/0 -d 192.168.1.1 -p tcp --dport 80 -j SNAT --to-source 192.168.1.1
###############################################################################
# Règles pour l'IP masquerading
###############################################################################
iptables -t filter -A FORWARD -i eth0 -o ppp0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A FORWARD -i ppp0 -o eth0 -s 0.0.0.0/0 -d 192.168.1.0/24 -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.1.0/24 -d 0.0.0.0/0 -p all -j MASQUERADE
Reply to: